Czy Twoje dane można kupić w darknecie?

Firma / Multimedia / Technologie i innowacje

Aż 9 mln adresów mailowych z jednej z polskich domen jest do kupienia w darknecie – mówił w wywiadzie dla aleBank.pl Piotr Narczyk z firmy Experian podczas Forum Bezpieczeństwa Banków

Piotr Narczyk: Jeżeli wiemy, że został wykradziony adres email to pierwszą rzeczą jaką poszkodowana osoba powinna zrobić to przynajmniej zmienić hasło.

Robert Lidke, alebank.pl: Ile jest warty adres emailowy na czarnym rynku w internecie?

Piotr Narczyk, Experian: To zależy, ale szacuje się, że to wartość około jednego dolara. Zależy to od tego, czy razem z adresem emailowym mamy także hasło do niego. Okazuje się, że około 40 proc. emaili, które krążą po tzw. darknecie ma od razu przypisane hasło. Adresy z hasłem są o wiele bardziej wartościowe niż te bez niego.

Czy jest dla nas niebezpieczne to, że ktoś dostanie hasło do naszego adresu mailowego?

Tak, jest to niebezpieczne. Przeprowadziliśmy badania w 28 krajach. Trafiliśmy na przypadki gdzie odsetek kont założonych na jeden adres email to 92 serwisy. Oznacza to, że jeśli ktoś ma dostęp do naszego adresu email, to jest w stanie po historii emaila zobaczyć jakie są to serwisy, co się tam dzieje, niektóre serwisy wysyłają hasła w momencie jego zmiany – istnieją przypadki, że przez jeden serwis logujemy się do następnego. Tak działa np. Facebook – różne serwisy umożliwiają logowanie albo za pomocą loginu i hasła, albo za pomocą maila, albo przez konto Facebooka. Jeśli ktoś dostanie się do naszego Facebooka to ma dostęp do wielu różnych naszych serwisów.

Zobacz i posłuchaj rozmowy na naszym kanale aleBankTV na YouTube albo na końcu artykułu

Wygląda na to, że możemy ponieść dwa rodzaje strat. Pierwsza to możliwość utraty pieniędzy, druga to nasze dane, które są udostępnione różnym podmiotom, a te zalewają nas różnego rodzaju reklamami.

W przypadku pierwszego rodzaju strat mamy dwie podgrupy. Pierwsza jest wtedy, gdy ktoś wprost zaloguje się do naszej bankowości internetowej i wypłyną dane. Drugi sposób jest taki, że nasze dane identyfikacyjne będą służyły do kreowania sztucznych tożsamości, o których nie będziemy wiedzieli, a które będą służyły do tego, aby zaciągać nowe zobowiązania. Jest to naprawdę groźne.

Jak Pan ocenia poziom bezpieczeństwa banków? Podczas swojej prezentacji mów ił Pan, że z jednego z banków wykradziono ponad tysiąc adresów emailowych.

Banki w Polsce są generalnie dobrze zabezpieczone. Fakt, że adresy emailowe wypłynęły nie oznacza jeszcze, że coś niebezpiecznego się w banku zadziało. Tego typu wycieki najczęściej dokonywane są przez pracowników, a gdy wypływają loginy i hasła danego banku to przestępcy mogą mieć dostęp do kont, skrzynek firmowych. Niesie to ryzyko tego typu, że ktoś z zewnątrz ma dostęp do wewnętrznej sieci bankowej.

Jak mogą się bronić banki, instytucje finansowe, czy różnego rodzaju firmy przed kradzieżą służbowych adresów emailowych?

Jest wiele sposobów. To, co my oferujemy to nie jest wprost obrona przed wykradzeniem, ale informacja o tym, że te dane krążą po sieci i są obiektem handlu. Oferujemy narzędzie, które umożliwia skanowanie tzw. darknetu – miejsca używanego przez cyberprzestępców do tego, aby dokonywać różnego rodzaju transakcji. Po wykradzeniu danych osobowych tam odbywa się handel danymi.

Nasze narzędzie umożliwia skanowanie darknetu pod kątem tego, czy takie dane się gdzieś nie pojawiły i czy nie następuje obrót nimi. Jeżeli tak, to użytkownik, którego email lub inne dane osobowe zostały skradzione dostaje alert – zostaje poinformowany o tym i otrzymuje wsparcie od nas lub od banku – za pośrednictwem, którego nasza usługa jest oferowana. Pomagamy klientowi opanować zaistniałą sytuację. Np. jeżeli wiemy, że został wykradziony adres email to pierwszą rzeczą jaką poszkodowana osoba powinna zrobić to przynajmniej zmienić hasło.

Czy ta usługa dotyczy także osób prywatnych? Czy można nie być firmą, aby z takiej usługi skorzystać?

To, o czym mówiłem to oferowanie naszej usługi przez bank dla klientów indywidualnych. W kolejnym kroku chcemy zaoferować zabezpieczenie dla małych firm. Usługa ma się pojawić w drugiej połowie tego roku. Jednak w tym momencie skupiamy się na osobach fizycznych.

Czy są jakieś badania, które pokazują ile adresów emailowych zostało zhakowanych?

Jeszcze do niedawna mówiło się, że w Polsce problem kradzieży tożsamości raczej nie występuje. Zrobiliśmy badanie i okazało się, że np. w darknecie z samej domeny wp.pl znajduje się około 9 mln rekordów.

Wymienił Pan jedną z polskich domen, ale najczęściej w Polsce korzystamy z amerykańskiego Gmaila.

Gmaila na razie nie badaliśmy. Jesteśmy w stanie wykonać bardzo szybko takie badania. Na razie badaliśmy polskie domeny bo chcieliśmy zrobić analizę dla rynku krajowego na potrzeby konferencji.

Niestety nie jesteśmy w stanie rozpoznać po adresie gmail.com czy są to adresy polskie czy nie, ale zgadzam się, że statystyki, które dostaliśmy są niedoszacowane. Jeśli dorzucimy do tego Gmaila i Yahoo to będziemy mieli znacznie wyższe liczby obrazujące poziom zhakowania adresów majlowych polskich internautów.